Windows NT系統(tǒng)首先必須在NT中擁有一個(gè)帳號,其次,規(guī)定該帳號在系統(tǒng)中的權(quán)力和權(quán)限。
在Windows NT系統(tǒng)中,權(quán)力專指用戶對整個(gè)系統(tǒng)能夠做的事情,如關(guān)掉系統(tǒng)、往系統(tǒng)中添加設(shè)備、更改系統(tǒng)時(shí)間等。權(quán)限專指用戶對系統(tǒng)資源所能做的事情,如對某文件的讀、寫控制,對打印機(jī)隊(duì)列的管理。NT系統(tǒng)中有一個(gè)安全帳號數(shù)據(jù)庫,其中存放的內(nèi)容有用戶帳號以及該帳號所具有的權(quán)力等。用戶對系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。
用戶登錄過程:
在沒有用戶登錄時(shí),可以看到屏幕上顯示一個(gè)對話框,提示用戶登錄在NT系統(tǒng)中。實(shí)際上,NT系統(tǒng)中有一個(gè)登錄進(jìn)程。當(dāng)用戶在開始登錄時(shí),按下Ctrl+Alt+Del鍵,NT系統(tǒng)啟動登錄進(jìn)程,彈出登錄對話框,讓用戶輸入帳號名及口令。按下Ctrl+Alt+Del鍵時(shí),NT系統(tǒng)保證彈出的登錄對話框是系統(tǒng)本身的,而不是一個(gè)貌似登錄對話框的應(yīng)用程序,以防止被非法竊取用戶名及口令。
所以,在登錄時(shí),無論屏幕上是否有登錄對話框,一定要按下Ctrl+Alt+ Del,以確保彈出的對話框是NT系統(tǒng)的登錄對話框,此過程就是強(qiáng)制性登錄過程。登錄進(jìn)程收到用戶輸入的帳號和口令后,就查找安全帳戶數(shù)據(jù)庫中的信息。如果帳戶及口令無效,則用戶的登錄企圖被拒絕;如果帳戶及口令有效,則把安全帳戶數(shù)據(jù)庫中有關(guān)該帳戶的信息收集在一起,形成一個(gè)存取標(biāo)識。
存取標(biāo)識中的主要內(nèi)容有:
用戶名以及SID
用戶所屬的組及組SID
用戶對系統(tǒng)所具有的權(quán)力 然后NT就啟動一個(gè)用戶進(jìn)程,將該存取標(biāo)識與之連在一起,這個(gè)存取標(biāo)識就成了用戶進(jìn)程在NT系統(tǒng)中的通行證。
用戶無論做什么事情,NT中負(fù)責(zé)安全的進(jìn)程都會檢查其存取標(biāo)識,以確定其操作是否合法。
用戶成功地登錄之后,只要用戶沒有注銷自己,其在系統(tǒng)中的權(quán)力就以存取標(biāo)識為準(zhǔn),NT安全系統(tǒng)在此期間不再檢查安全帳戶數(shù)據(jù)庫。這主要是考慮到效率。
存取標(biāo)識的作用相當(dāng)于緩存,只不過存取標(biāo)識緩存的是用戶安全信息,使得系統(tǒng)不必再從硬盤上查找。安全帳戶數(shù)據(jù)庫是由域用戶管理器來維護(hù)的,在某個(gè)用戶登錄后,有可能管理員會修改其帳戶以及權(quán)力等,但這些修改只有在用戶下次登錄時(shí)才有效,因?yàn)镹T安全系統(tǒng)在用戶登錄后只檢查存取標(biāo)識,而不是檢查安全帳戶數(shù)據(jù)庫。比如User1已登錄到了NT系統(tǒng)中,管理員發(fā)現(xiàn)其缺少了某種權(quán)力,就用域用戶管理器做了相應(yīng)的修改,那么,除非User1重新登錄一次,否則User1仍無法享有該權(quán)力。
存取標(biāo)識包含的內(nèi)容并沒有訪問許可權(quán)限,而存取標(biāo)識又是用戶在系統(tǒng)中的通行證,那么NT如何根據(jù)存取標(biāo)識控制用戶對資源的訪問呢?
原來,給資源分配的權(quán)限作為該資源的一個(gè)屬性,與資源一起存放。比如有目錄為D:Files,對其指定User1只讀,User2可完全控制,則這兩個(gè)權(quán)限都作為D:Files目錄的屬性與該目錄連在一起。在NT內(nèi)部以訪問控制列表)的形式存放。ACL中包含了每個(gè)權(quán)限的分配,以訪問控制項(xiàng)來表示。ACE中包含了用戶名以及該用戶的權(quán)限。比如上面提到的這個(gè)例子中,D:Files的ACL中有兩個(gè)ACE,分別是User1:只讀,User2:完全控制。當(dāng)User1訪問該目錄時(shí),NT安全系統(tǒng)檢查用戶的存取標(biāo)識,與目錄的ACL對照,發(fā)現(xiàn)用戶存取標(biāo)識中的用戶名與ACL中有對應(yīng)關(guān)系且所要求的權(quán)限合法,則訪問獲得允許,否則,訪問被拒絕。
